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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren bzw. eine 
Vorrichtung zum Verarbeiten von Daten. Im Rahmen ub- 
licher Datenverarbeitung werden heutzutage zuneh- 
mend Sicherheitsaspekte relevant, da zunehmend ver- 
sucht wird, uneriaubt Daten aus Datenverarbeitungsan- 
lagen zu erhalten. Um die zu verhindern werden zuneh- 
mend kryptographische Verfahren angewandt, bei de- 
nen zu schutzende Daten verschlusselt werden. Hierzu 
wird unter anderem beispielsweise das "Public-Key- 
Verfahren" verwendet, bei dem jeder Teilnehmer eines 
Systems ein Schlusselpaar besitzt, das aus einem ge- 
heimen Schlusselteil und einem offentlichen Schlussel- 
teil besteht. Die Sicherheit der Teilnehmer beruht nun 
darauf, daR der geheime Schlusselteil Unbefugten nicht 
bekannt ist. Die Ausfuhrung eines derartigen Verfah- 
rens geschieht haufig in einer besonders gesicherten 
Komponente, wie beispielsweise einer Chipkarte aber 
auch in einem einmal in ein Gerat eingesetzten elektro- 
nischen Schaltkreis - auch als IC bekannt - ( in denen 
dann das Verfahren selbst realisiert ist. Somit braucht 
der geheime Teil des Schlussels diese gesicherte Kom- 
ponente nicht zu verlassen. 

[0002] Neuerdings sind jedoch Angriffe bekannt ge- 
worden, bei denen versucht wird, den Schlussel in der 
gesicherten Komponente auszuspahen. Dies soil bei- 
spielsweise durch Messung des Stromverbrauchs der 
gesicherten Komponente ermoglicht werden. Durch das 
haufig wiederholte Beobachten des Stromverlaufs und 
bei dem Bekannt sein wie der Verschlusselungsvorgang 
durchgefuhrt ist, ist es schliefilich moglich, RGckschlus- 
se auf den Schlussel zu Ziehen. 
[0003] Aus der US 4932053A ist ein Verfahren be- 
kannt, bei dem durch einen Zufallsgenerator angesteu- 
ert Speicherzellen in Abhangigkeit der vom Zufallgene- 
rator abgegebenen Daten betrieben werden. Da der 
Stromverbrauch der Speicherzellen von seiner An- 
steuerung abhangig ist, ist der Stromverbrauch der Ge- 
samtanordnung durch den zufallig verteilten Stromver- 
brauch der Speicherzellen insgesamt durch den Zufall 
bestimmt. 

[0004] Der Erfindung liegt daher die Aufgabe zugrun- 
de, ein Verfahren zum Verschlusseln bzw. eine Vorrich- 
tung vorzusehen, bei der eine erhohte Sicherheit vor 
dem Ausspahen eines geheimen Schlusseilwortes ge- 
geben ist. 

[0005] Diese Aufgabe wird erfindungsgemalJ mit den 
MaBnahmen bzw. . Mitteln gemaB Patentanspruch 1 
bzw. Patentanspruch 4 gelost. 

[0006] Dadurch, dafi Verschlusselungs- bzw. Ent- 
schlOsselungsverfahren so gesteuert bzw. Operationen 
begleitend zu diesem Verfahren gesteuert werden, daft 
sich auch bei einer haufig wiederholten Messung von 
von auften zuganglichen Parametern, wie beispielswei- 
se dem Stromverbrauch, keine Ruckschlusse auf den 
verwendeten Schlussel Ziehen lassen. 
[0007] Weitere vorteilhafte Ausgestaltungen der Er- 



findung sind in den UnteransprQchen angegeben. 
Nachfolgend wird die Erfindung unter Bezugnahme auf 
die Zeichnung anhand von Ausfuhrungsbeispielen er- . 
lautert. 

5 [0008] Hierbei zeigen: 

Fig. 1 ein erstes Ausfuhrungsbeispiel einer erfin- 
dungsgemafien Vorrichtung, 

10 Fig. 2 ein zweites Ausfuhrungsbeispiel einer erfin- 
dungsgemSBen Vorrichtung, anhand der auch 
das erfindungsgemaRe Verfahren erlSutert 
wird und 

15 Fig. 3 ein drittes Ausfuhrungsbeispiel 

[0009] Mit 1 , 2 ist eine zu schutzende Schaltung, die 
beispielsweise aus einem Mikrocontroler 2 und einem 
Rechenwerk 1 besteht, bezeichnet. Der Mikrocontroler 

20 2 steuert dabei das Rechenwerk 1 , in dem beispielswei- 
se ein Verschlusselungsvorgang durchgefuhrt wird. 
Dieser zu schutzenden Anordnung wird nunmehr ein 
Strom I zugefuhrt, der mittels einer MeBeinrichtung 7 
detektierbar ist, wodurch Ruckschlusse auf die Vorgan- 

25 ge in der zu schutzenden Schaltung 1 , 2 gezogen wer- 
den sollen. Es ist nunmehr eine zusatzliche Schaltungs- 
einrichtung 6 vorgesehen, die Ober einen Zufallsgene- 
rator 3 gesteuert wird. Dieser Zufallsgenerator kann bei- 
spielsweise als ein Sequenzgenerator in Form eines li- 

30 near ruckgekoppelten Schieberegisters ausgefuhrt 
sein, welches mit einem Startwert geladen, eine pseu- 
dozufallige Folge - Nullen und Einsen - erzeugt. Hierbei 
kann der Startwert entweder zufallig erzeugt sein oder 
von der Steuereinrichtung beispielsweise auf Basis des 

35 Schlusselwortes generiert werden, auch ist eine Kom- 
bination beider Mdglichkeiten denkbar. Die somit vom 
Zufallsgenerator erzeugte Sequenz steuert nunmehr 
SchalterS in derzusatzlichen Schaltungseinrichtung 6, 
so daB Kondensatoren, die mit den Schaltern S in Reihe 

40 Megen, entsprechend der jeweils gerade erzeugten Zu- . 
fallsfolge geladen werden. Auf diese Weise wird der 
Stromverbrauch der zu schutzenden Schaltung 1, 2 
durch die zusatzliche Schaltungseinrichtung 6, namlich 
dem Ladestrom der Kondensatoren, verschleiert. Um 

45 den Gesamtstromverbrauch dieser Einrichtung zu mini- 
mieren, ist es nicht notwendig, daB die zusatzliche 
Schaltungseinrichtung 6 fortwahrend einen Beitrag zum 
Stromverbrauch liefert. Sie kann vielmehr darauf be- 
schr^nkt werden, nur in der Zeit wiihrend des Verschlus- 

50 selns bzw. Entschlusselns zu arbeiten. 

[0010] Fig. 2 zeigt ein weiteres erfindungsgemaRes 
Ausfuhrungsbeispiel. Hierbei liegt das Rechenwerk 1 
und die Steuerungseinrichtung 2, der Zufallsgenerator 
3 und eine Speichereinrichtung 5 an einem gemeinsa- 

55 men Bus 4, der von extern mittels einer Schnittstelle 9 
zuganglich ist. Ober die Schnittstelle 9 werden bei- 
spielsweise zu verschlusselnde bzw. zu entschlusseln- 
de Daten zugefuhrt. In der Speichervorrichtung 5 ist ein 
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geheimes SchlOsselwort gespeichert. das gesteuert 
von der Steuereinrichtung 2 dem Rechenwerk 1 zuge- 
fuhrt wird, urn die Ober die Schnittstelle 9 vom Datenbus 
zugefuhrten Daten zu verschlQsseln bzw. zu entschliis- 
seln. Der Zufallsgenerator 3 erzeugt nunmehr eine Zu- 
fallszahl, die der Steuereinrichtung 2 zugefuhrt wird, die 
nunmehr auf Grundlage dieser Zufallszahl das Rechen- 
werk 1 steuert. Hierbei sind nunmehr zwei Moglichkei- 
ten denkbar. 

[001 1] Das Rechenwerk 1 wird auf Grundlage der Zu- 
fallszahl durch die Steuereinrichtung 2 so gesteuert, 
dafi der Verschlusselungsoder Entschlusselungsalgo- 
rithmus der jeweiligen Zufallszahl entsprechend modu- 
liert wird. Das bedeutet, es erfolgen somit im VerschlQs- 
selungs- bzw. Entschlusselungsalgorithmus Rechen- 
operartionen, die ohne abschliefiende Auswirkung auf 
die Verschlusselung bzw. EntschlQsselung, mit zufalli- 
gen Werten arbeiten. 

[0012] Nachfolgend werden Beispiele fur die Variatio- 
nen des Verschlusselungs- bzw. Entschlusselungsalgo- 
rithmus beschrieben. 

[0013] Ein bekanntes Verfahren ist das sogenannte 
RSA-Verfahren. Es arbeitet in der Gruppe teile fremder 
Restklassen modulo N und setzt die Exponentiationen 
aus Multiplikationen modulo N zusammen. Die Varian- 
ten dieser Protokolle fur elliptische Kurven modulo p be- 
sitzen aus modularen Additionen und Multiplikationen 
zusammengesetzte Grundoperationen, sogenannte 
Additionen und Verdoppelungen in der Punktgruppe der 
eliiptischen Kurven, die ihrerseits zur Exponentiation 
zusammengesetzt werden. Die dritte grofie Gruppe be- 
steht aus eliiptischen Kurven Ober endlichen Korpern, 
deren Elementezahlen eine Primzahlpotenz, die haufig 
eine Potenz von 2 ist. Diese Strukturen werden gemein- 
hin als GF(p n ) bezeichnet. Die Basisarithmetik in diesen 
Korpern kann durchgefuhrt werden, indem man die Kor- 
perelemente als Polynome mit Koeffizienten aus dem 
Grundkorper GF(p) oder einem geeigneten Zwischen- 
kSrper darstellt, die durch Multiplikationen modulo ei- 
nem festen Korperpolynom miteinander verknupft so- 
wie koeffizientenweise addiert werden. In diesem Sinne 
lassen sich Operationen in GF(p n ) bzw. in eliiptischen 
Kurven Ober diesen Korper als modulare Rechenopera- 
tion auffassen. Dabei sind die nachfolgenden drei, dem 
erfindungsgemSfien Verfahren entsprechende Variati- 
onsmoglichkeiten moglich. 

a) Der Modul N wird durch r*N ersetzt, wobei r eine 
von 0 verschiedene Zufallszahl ist. Im GF(p n )-Fall 
wird das KSrperpolynom durch sein Produkt mit ei- 
nem zufallig gewahlten von 0 verschiedenen Poly- 
nom ersetzt. Dieser Schritt ist vor Eintritt in die 
Rechnung oder einem Teilschritt durchzufuhren 
und nachfolgend durch eine Reduktion des Ergeb- 
nisses bzw. Teilergebnis modulo N zu kompensie- 
ren. 

b) Ein Eingangsparameter X einer modularen Re- 
chenoperation wird durch den Wert X + s*N ersetzt, 



wobei s eine Zufallszahl ist. Dies kann in verschie- 
denen Rechenschritten durchgefuhrt werden. Auch 
eine entsprechende Veranderung mehrerer Ein- 
gangsparameter derselben Operation ist moglich. 

5 c) Die Exponenten E werden durch E + t*q ersetzt, 
wobei t eine Zufallszahl und q die sogenannte Ord- 
nung der Basis der auszufuhrenden Exponentiati- 
on, oder ein geeignetes Vielfaches davon, ist. Po- 
tentielle Werte von q lassen sich haufig aus den Sy- 

10 stemparametern ableiten. So kann man fur die Ex- 
ponentiation modulo N q=(p (N) und fur elektrische 
Kurven q als die Anzahl der Punkte dieser Kurve 
wahlen, wobei haufig noch bessere Wahlmoglich- 
keiten gegeben sind. 

[0014] Eine weitere Moglichkeit besteht darin, dafi al- 
ternative, gleichwertige Verschlusselungs- bzw. Ent- 
schlusselungsalgorithmen im Rechenwerk 1 durchfuhr- 
bar sind, die gemali der zugefuhrten Zufallszahl zufallig 

20 ausgewahlt werden. 

[0015] Bei der zuvor beschriebenen Modulation des 
Verschlusselungs- bzw. Entschlusselungsalgorithmus 
wird nicht nur der Stromverbrauch der Anordnung durch 
die Zufallszahl verandert, sondern ebenfalls die beno- 

25 tigte Rechenzeit. Auch diese kann als Meftgrofie Ruck- 
schlusse auf den Geheimschlussel geben^Gleiches gilt 
fur die zufallsgesteuerte Auswahl der aquivalenten Re- 
chenoperationen. 

[0016] Eine dritte Moglichkeit ist darin zu sehen, dafi 
30 ahnlich dem Ausfiihrungsbeispiel nach Fig. 1 eine zu- 
satzliche Schaltungseinheit 6 vorgesehen ist gestrichelt 
dargestellt), die ebenfalls mit der Zufuhreinrichtung 4 
verbunden ist. Die Steuereinrichtung 2 steuert nunmehr 
die zusatzliche Schaltungseinrichtung 6 gemaB einer 
35 vom Zufallsgenerator 3 uber die Zufuhreinrichtung 4 zu- 
gefuhrten Zufallszahl. Eine Anlayse des Stromver- 
brauchs der dargestellten Gesamtanordnung ist somit 
nicht durch den Betrieb im Rechenwerk 1 allein be- 
stimmt sondern ebenfalls durch einen zufallig gesteuer- 
40 ten Stromverbrauch der zusatzlichen Schaltungsein- 
heit. 

[0017] Zusatzlich sei darauf hingewiesen, dafi auch 
die Kombination von Modulation des jeweiligen Algorith- 
mus mit einer zusatzlichen Schaltungseinheit 6 im 

45 "Dummy-Betrieb" sinnvoll ist. 

[0018] Fig. 3 zeigt ein drittes erfindungsgemalies 
Ausfuhrungsbeispiel. Hierbei wird der Steuereinrich- 
tung 2, in Form einer CPU uber Datenanschlufi D Daten 
zugefuhrt. Gleichzeitig wird der "Wait-State-AnschluB" 

so WS mit einem Zufallsgenerator 3 verbunden. Dieser Zu- 
fallsgenerator 3 erzeugt nunmehr in zufalliger Folge 
"Einsen" "Nullen". Entsprechend der Programmierung 
wird nunmehr immer dann wenn eine "1" oder "0" am 
Eingang anliegt, der Betrieb der CPU gestoppt oder wie- 

55 <jer aufgenommen. Dies fuhrt dazu, dafi der Betrieb der 
CPU zwar noch synchron zu einem nicht dargestellten 
Taktgenerator arbeitet, jedoch keine einheitlichen Ver- 
arbeitungszyklen mehr aufweist. Da auf diese Weise 
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kein fester einheitlicher Rahmen mehr voriiegt, sind 
durch Beobachtung der CPU deren ArbeitsvorgSnge 
nicht mehr ohne weiteres nachvollziehbar und nur sehr 
erschwert analysierbar. Dies bedeutet, dali die in der 
CPU abzuarbeitenden Vorgange "verrauscht" sind. Um 
die Handhabbarkeit einer solchen Anordnung zu stei- 
gem, kann derZufallsgenerator 3 so programmiert wer- 
den, dad festlegbar ist, in welchem zeitlichen Rahmen 
eine Verarbeitung maximal ablauft. Dies ist unter ande- 
rem dafOr notwendig, um festzustellen, ob das System 
insgesamt ausgefatlen ist. 

[0019] Es erscheint besonders sinnvoll eine Anord- 
nung gemSR Fig. 3 mit einer Anordnung gemafc Fig. 1 
oder 2 oder mit beiden zu kombinieren um somit bei- 
spieisweise die Analyse der Bearbeitung eines Gesamt- 
systems zu erschweren. 



Patentanspruche 

1 . Datenverarbeitungsverfahren, bei dem in einer Ver- 
arbeitungseinheit (1,2) uber eine Datenleitung zu- 
gefuhrte Daten verarbeitet werden, ein Zusatzsi- 
gnal der Verarbeitungseinheit zugefuhrt wird, 

bei dem die Verarbeitung in Abhangigkeit vom Zu- 
satzsignal erfolgt.und 

bei dem das Zusatzsignal von den zugefuhrten Da- 
ten und dem Betrieb der Verarbeitungseinheit un- 
abhangig ist und durch einen Zufallsgenerator ge- 
steuert ist. 

2. Datenverarbeitungsverfahren nach Anspruch 1 , bei 
dem an einer geeigneten Stelle ein Operand mit der 
Zufallszahl beaufschlagt ist und an einer weiteren 
geeigneten Stelle ein entsprechender Kompensati- 
onsoperand mit der gleichen Zufallszahl beauf- 
schlagt ist. 



5. Vorrichtung nach Anspruch 4, bei der mit der Steu- 
ereinrichtung (2) eine Hilfsschaltung (6) verbunden 
ist, die von der Steuereinrichtung (2) auf Basis des 
von dem Zufallsgenerator (3) zugefuhrten Aus- 

5 gangssignal gesteuert wird. 

6. Vorrichtung nach Anspruch 5, bei der die Hilfsschal- 
tung eine Kapazitat aufweist, die gemafi dem Aus- 
gangssignal des Zufallsgenerators umgeladen 

10 wird. 



Claims 

is 1. Data processing method, in which, in a processing 
unit (1 ,2) data fed in via a data line are processed, 
an additional signal is fed to the processing unit, in 
which the processing is carried out in dependence 
on the additional signal, and in which the additional 

20 signal is independent of the data fed and the oper- 
ation of the processing unit and is controlled by a 
random number generator. 

2. Data processing method according to Claim 1 , in 
25 which a random number is applied to an operand at 
a suitable position and the same random number is 
applied to a corresponding compensation operand 
at a further suitable position. 

30 3. Data processing method according to Claim 1 , in 
which the processing of the data is composed of a 
plurality of individual steps which are selected from 
a plurality of alternatives [sic] equivalent individual 
steps, and/or comprises a plurality of alterable Indi- 
es vidual steps to be processed sequentially, the se- 
lection and/or the processing being carried out on 
the basis of the additional signal. 



3. Datenverarbeitungsverfahren nach Anspruch 1 , bei 
dem die Verarbeitung der Daten aus mehreren Ein- to 
zelschritten zusammengesetzt ist, die aus mehre- 
ren Alternativen gleichwertigen Einzelschritten aus- 
gewahlt sind, und/oder aus mehreren sequentiell 
abzuarbeitenden veranderbaren Einzelschritten 
besteht, wobei die Auswahl und/oder die Verande- *s 
rungauf Grundlage des Zusatzsignals erfolgt. 

4. Vorrichtung zum Durchfuhren des Verfahrens nach 
Anspruch 1, mit einer Recheneinrichtung (1), der 
Daten mittels einer Zufuhrvorrichtung (4) zugefuhrt so 
werden, und einem Zufallsgenerator (3), und einer 
Steuervorrichtung (2), die die Recheneinrichtung 
steuert, wobei ein Ausgangssignal des Zufallsge- 
nerators (3) die Steuereinrichtung (2) und/oder und 

die Recheneinrichtung (1 ) so beeinfluftt, daft deren 55 
Betriebsablauf durch das Ausgangssignal des Zu- 
fallsgenerators bestimmt ist. 



4. Apparatus for carrying out the method according to 
Claim 1, having a computing device (1), to which 
data are fed by means of a feeding apparatus (4), 
and having a random number generator (3), and 
having a control apparatus (2), which controls the 
computing device, an output signal of the random 
number generator (3) influencing the control device 
(2) and/or and [sic] the computing device (1) such 
that the operating sequence thereof is determined 
by the output signal of the random number genera- 
tor. 

5. Apparatus according to Claim 4, in which an auxil- 
iary circuit (6) is connected to the control device (2) 
and is controlled by the control device (2) on the 
basis of the output signal fed from the random 
number generator (3). 

6. Apparatus according to Claim 5, in which the auxil- 
iary circuit has a capacitance which is subjected to 
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charge reversal in accordance with the output sig- 
nal of the random number generator. 



Revendications 5 

1. Procede de traitement de donnees, dans lequel 

on traite dans une unit6 de traitement de don- 
nees (1,2) des donnees envoyees par I'intermediai- 
re d'une ligne de donnees, 10 

on envote un signal supplemental a ('unite 
de traitement, 

on effectue le traitement en fonction du signal 
supplementaire, et 

le signal supplementaire d6pend des don- 1$ 
nees envoyees et du fonctionnement de I'unite de 
traitement et il est commande par un generateur 
aleatoire. 

2. Proced6 de traitement de donnees selon la reven- 20 
dication 1, dans lequel, a un endroit approprie, un 
operande recoil le nombre aleatoire et, a un autre 
endroit approprie, un operande de compensation 
correspondant recoit le meme nombre aleatoire. 

25 

3. Procede de traitement de donnees selon la reven- 
dication 1 ( dans lequel le traitement des donnees 
est compose de plusieurs etapes individuelles, qui 
sont selectionnees a partir de plusieurs variantes 
d'etapes individuelles equivalentes, et/ou de plu- 30 
sieurs etapes individuelles modifiables a trailer se- 
quentiellement, la selection et/ou la modification 
s'effectuant sur la base du signal supplementaire. 

4. Dispositif pour la mise en oeuvre du procede selon 35 
la revendication 1, avec un dispositif de calcul (1) 
auquel des donnees sont envoyees au moyen d'un 
dispositif d'aiimentation (4), avec un generateur 
aleatoire (3) et avec un dispositif de commande (2) 

qui commande le dispositif de calcul, un signal de *o 
sortie du generateur aleatoire (3) influencant le dis- 
positif de commande (2) et/ou le dispositif de calcul 
(1 ) de telle sorte que le deroulement de I'execution 
est determine par le signal de sortie du generateur 
aleatoire. 45 

5. Dispositif selon la revendication 4, dans lequel le 
dispositif de commande (2) est relie a un circuit 
auxiliaire (6) qui est commande par le dispositif de 
commande (2) sur la base du signal de sortie en- so 
voye par le gen6rateur aleatoire (3). 

6. Dispositif selon la revendication 5, dans lequel le 
circuit auxiliaire comporte une capacite qui est char- 
gee selon le signal de sortie du gen6rateur aleatoi- 55 
re. 
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